适用于 Google Sheets 的 ChatGPT 扩展存在一个严重的安全漏洞。攻击者可以通过在外部数据中隐藏“间接提示注入”代码,欺骗 AI 执行恶意脚本。这会导致用户的工作簿被窃取、账户中更多的表格被横向获取、侧边栏被覆盖以及弹出钓鱼窗口。即使用户设置了需要手动批准才能编辑,该攻击也能绕过该限制。研究人员已向 OpenAI 披露此问题,但仅收到自动回复。
一个查询,多重攻击
只需一次看似无害的用户查询,由“间接提示注入”触发的攻击就能同时实现多种恶意效果:
- 窃取多个工作簿: 从受害者账户中窃取大量工作簿文件。
- 弹出钓鱼窗口: 显示一个交互式的钓鱼弹窗,诱骗用户输入凭据。
- 覆盖侧边栏: 将原始的 GPT 侧边栏替换为攻击者控制的聊天机器人界面。
- 恶意编辑: 对用户的工作表进行未经授权的修改。
这个漏洞的根源在于,当用户导入的表格或使用的数据连接器等任何不受信任的数据源中包含恶意指令时,ChatGPT 可能会被操纵去执行一个由攻击者控制的外部脚本。该脚本会利用用户授予 ChatGPT 扩展的权限来执行恶意操作。
此攻击甚至在用户明确要求“在 ChatGPT 编辑工作簿前需要人工批准”的设置下依然有效,它不需要任何人工干预或批准即可执行。
攻击如何发生
攻击过程通常遵循以下步骤:
- 用户导入外部数据: 用户正在处理一个财务模型,并导入一个外部数据集以辅助分析。
- 数据包含隐藏指令: 该外部表格中用白色字体隐藏了恶意提示注入代码,肉眼不可见。
- 用户向 ChatGPT 求助: 用户请求 ChatGPT 帮助整合这个外部数据。
- 恶意脚本被执行: 隐藏的提示注入操纵 ChatGPT 运行一个外部的、由攻击者控制的脚本。
- 数据被窃取: 外部脚本随即窃取当前用户工作簿中的财务模型数据。
- 攻击横向扩散: 脚本会扫描窃取到的数据,寻找指向其他工作簿的链接,然后继续窃取新发现的工作簿,不断循环,直到窃取到所有能找到的文件。
值得注意的是,即使在侧边栏中点击“停止”按钮,也无法中断已经开始执行的脚本。
不仅是数据盗窃:钓鱼攻击
除了窃取数据,同一个攻击脚本还能发动两种不同形式的钓鱼攻击:
- 侧边栏覆盖: 脚本会打开一个覆盖在原始 ChatGPT 侧边栏之上的网页,伪装成官方扩展。这个假的侧边栏不仅能窃取用户的所有提示,还能诱导用户“重新连接”账户以获取更多应用的访问权限,或直接显示钓鱼界面窃取 OpenAI 的账户凭据。
- 弹窗钓鱼: 脚本会直接弹出一个由攻击者控制的网站模态框,用于钓鱼窃取用户的登录信息。
漏洞披露与回应
研究人员已负责任地向 OpenAI 披露了此漏洞,但除了初次报告后收到的一封自动回复邮件外,尽管多次跟进,再未收到任何实质性沟通。
OpenAI 的官方文档也未能充分说明该模型被授予的敏感权限(例如运行特权脚本)或通过间接提示注入进行模型操纵的风险。因此,研究人员决定公开这些发现,以帮助用户和组织就其风险做出明智的决策。
披露时间线
- 2026年5月8日: 通过电子邮件向 OpenAI 披露。
- 2026年5月8日: 收到 OpenAI 的自动回复。
- 2026年5月12日: 第一次跟进。
- 2026年5月18日: 第二次跟进。
- 2026年5月27日: 公开披露。